Como ya sabemos, un certificado digital es el documento electrónico que garantiza la identidad de una persona en Internet y en función de los tipos de certificado digital le permite realizar acciones como firmar documentos o acceder a sedes electrónicas. Por ello, hoy en día, es imprescindible que empresas y profesionales cuenten con un certificado para poder desempeñar su trabajo.

Recordemos que si no disponemos de un certificado digital debemos acudir a una Autoridad de Certificación, reconocida como Prestador de Servicios de Confianza como Ivnosys para que nos lo emita. Es importante hacerlo con una entidad reconocida oficialmente para asegurarnos de que se garantiza la identidad del titular, la integridad del mensaje y el no repudio de las transacciones electrónicas.

Clasificación de los tipos de certificado digital

Existen muchísimos tipos de certificado digital ya que éste nos puede identificar como persona física (si somos un particular), como persona jurídica (si somos una empresa) y un largo etcétera, dependiendo de las acciones que necesitemos realizar online.

En este post te ayudamos a conocer varios tipos de certificado digital y los usos más habituales de cada uno de ellos para que puedas escoger el más adecuado en función de tus necesidades.

Para establecer una división general, podemos clasificar los certificados según 3 ámbitos de actuación: si queremos hacer gestiones con las Administraciones Públicas, gestiones Empresariales o bien cosas más técnicas de Componentes.

Certificados en relación a la Administración Pública

Para realizar trámites con organismos públicos, ya sea como empleado público o persona externa, existen tres tipos de certificados idóneos para cada situación:

• Certificado cualificado de empleado público: certificado digital cualificado que identifica a personas físicas que trabajan en una Administración Pública, como funcionarios, personal laboral, estatutario y personal autorizado. Informa del cargo y departamento del titular y le permite realizar comunicaciones firmadas electrónicamente.
• Certificado de Sede Electrónica: convierte un sitio web de una Administración Pública en una sede electrónica donde empresas y ciudadanos pueden realizar los trámites electrónicamente de forma segura. Para acceder a la sede electrónica el representante legal o apoderado debe acreditarse con un certificado digital cualificado.
• Sello Electrónico para actuación automatizada: este certificado permite a una persona jurídica identificarse y firmar documentos de forma electrónica sin incorporar los datos de un representante. Este tipo de certificado permite sellar documentos o códigos, siendo adecuado para procesos automatizados como la generación de recibos, facturas o envíos de correos.

Certificados de Empresa

Si necesitamos que un empleado utilice el certificado digital para realizar un trámite en nombre de la empresa, debemos pensar en la figura de esa persona y su relación con la empresa a la hora de elegir entre un tipo de certificado u otro. Así, tenemos:

• Certificado corporativo: Identifica electrónicamente a una persona física y la vincula a una entidad informando del cargo que desempeña (empleado, asociado, colaborador, cliente o proveedor) sin informar de la existencia de poderes de representación. El titular puede usar la firma electrónica acreditando su pertenencia a la organización, sin ningún poder superior.
• Certificado cualificado de representante legal: certificado cualificado que permite a una persona física con poderes de representación general actuar en representación de una entidad. Este certificado permite realizar trámites administrativos online así como firmar documentos digitales. Por ello, pueden hacer uso de él representantes legales o apoderados con poderes generales.
• Certificado de representante apoderado: este tipo de certificado digital está dirigido en exclusiva a apoderados especiales. Les permite actuar en representación de una organización o entidad para trámites online con las AAPP y usar la firma digital. Así, pueden ser titulares las personas físicas con poderes notariales especiales sobre una organización. Tendrán la responsabilidad de hacer uso de él acorde a sus poderes y limitaciones. La diferencia con el representante legal es que éste tiene poder de representación general, mientras que el apoderado se limita a ciertas funciones. Ambas figuras serían equivalentes en caso de tratarse de apoderados con poderes generales.
• Certificado de representante de entidad para trámites ante las AAPP:Este tipo de certificado digital cualificado permite a una persona física realizar trámites online con las Administraciones Públicas en nombre y representación de una organización. Por ejemplo, a la hora de presentar y liquidar impuestos, solicitar subvenciones, expedientes administrativos, realizar presentaciones a concursos públicos, etc. Pueden utilizarlo representantes legales y apoderados con facultades suficientes para representar a una organización, con la responsabilidad de utilizarlo conforme a sus poderes.

Certificado de Componente

Estos certificados digitales se diferencian de los certificados vistos hasta ahora, puesto que no sirven para identificar a personas cuando hacen una gestión online, sino que sirven para complementar, proteger y securizar procesos informáticos.

• Certificado de autenticación web (SSL EV): este certificado se incorpora a los negocios online para acreditar que el sitio web de la empresa es un sitio seguro (evitando malas prácticas como malware u otros fraudes online) y permite comunicaciones cifradas entre el usuario y el sitio web. Es el conocido candado de sitio seguro.
• Sello electrónico: este certificado se utiliza para la automatización de procesos de firma y autenticación entre sistemas informáticos. El certificado puede estar asociado a una clave privada custodiada para garantizar la integridad y autenticidad de los documentos firmados. Su duración es de entre 1 y 4 años, en función del formato escogido.
• PSD2: certificado digital específico para los proveedores de servicios de pago de terceros (TTP). Este certificado cumple con las especificaciones PSD2 Regulatory Technical Standards (RTS) que requiere el uso del certificado cualificado para sello electrónico (QSEALC) y el certificado cualificado de autenticación de sitio web (QWAC).

¿Necesitas hacer una gestión con la Administración Pública? ¿o firmar un contrato digital con un proveedor? Sea cual sea tu situación, ¡ya conoces los diferentes tipos de certificado digital y estás preparado para escoger el más adecuado para cada situación!

¡Descárgate gratis la infografía resumen! Nombre* Email* Privacidad* He leído y consiento el tratamiento de mis datos personales por parte de Ivnosys Soluciones, S.L.U. * CAPTCHA

La ONCE ha acelerado su proceso de transformación digital y se ha constituido como Punto de Verificación Presencial para la emisión de certificados digitales gracias a las soluciones tecnológicas de Ivnosys. Con la implementación de las herramientas IvSign e IvNeos, la organización ha agilizado y securizado su comunicación online con las Administraciones Públicas.

La herramienta de emisión y centralización de certificados digitales, IvSign, permite gestionar y custodiar los certificados digitales en la nube, de forma sencilla, rápida y desde cualquier lugar o dispositivo. Gracias a la plataforma digital, la ONCE ha conseguido agilizar la supervisión y modificación de sus certificados digitales, además de poder resolver incidencias y gestionar solicitudes relacionadas.

La ONCE, propia emisora de sus certificados digitales

Además, la ONCE ha dado un paso más en materia de identidad digital y se ha convertido en Punto de Verificación Presencial. De este modo, la organización está reconocida como organismo capacitado para verificar tanto la identidad de los titulares de certificados como de la propia documentación. Tras esta verificación, emite y centraliza los certificados digitales en IvSign.

“La colaboración con Ivnosys y la posibilidad de poder gestionar los certificados digitales de todos los miembros de nuestra Organización a través de IvSign no solo nos ofrece una mayor seguridad y nos ha permitido que cada usuario disponga de un tipo de certificado adecuado a sus necesidades, sino que está siendo una herramienta clave en la digitalización de procesos que en estos momentos está afrontando la ONCE. Cuando se culmine su implantación, esperamos que IvNeos también sea una pieza fundamental para alcanzar este objetivo”.
Ángel Montero, jefe del Gabinete Jurídico de la ONCE

Desde su puesta en marcha la ONCE ha incrementado el volumen de verificación de certificados, por el momento lleva más de 150 y sigue aumentando su actividad. Entre los certificados digitales destaca el uso del certificado cualificado corporativo, el certificado cualificado y, por último, el de representante de persona jurídica para trámites con las AAPP.

“Estamos muy orgullosos de poder colaborar con una organización tan importante como la ONCE. Debido a su naturaleza y relevancia para la sociedad, estamos siendo testigos de la gran utilidad que suponen nuestros productos para ellos, que se refleja tanto en el amplio volumen de certificados digitales emitidos hasta ahora, como en la agilidad experimentada en las comunicaciones electrónicas con la Administración”
Sergio Ruiz, consejero delegado de Ivnosys

De forma paralela, también están trabajando en la implantación del gestor automático de notificaciones electrónicas IvNeos. Gracias a la plataforma de Ivnosys gestionarán telemáticamente todas las notificaciones electrónicas recibidas por las Administraciones públicas de manera eficaz y segura. Este producto permitirá a la ONCE mejorar la gestión de estas notificaciones y evitará que algunas de ellas no sean atendidas a tiempo con las sanciones que ello conlleva, además de convertir una tarea rutinaria y poco productiva en un proceso optimizado y centralizado.

Ya hemos hecho un repaso para saber qué es una firma electrónica cualificada y cómo se genera a través del certificado digital cualificado y el QSCD. Igualmente, ya sabemos que es la única firma equiparable a la manuscrita y capaz de perdurar en largo plazo con plena validez jurídica si sabemos escoger el tipo y el nivel adecuado de protección.

Ahora, profundizaremos en el aspecto legal para analizar aquellas regulaciones que nos exigen actualmente trabajar con la firma electrónica, ya sea cualificada o no cualificada.

Normativa y regulación para el uso de la firma electrónica

La normativa europea eIDAS define las reglas para un uso controlado, auditado y seguro de la firma electrónica que se realiza a la hora de cerrar cualquier tipo de transacción. Estas reglas son comunes en todos los países miembros de la UE para que los usuarios puedan realizar transacciones online de forma confiable y segura de modo que se pueda consolidar un mercado único digital.

Si analizamos la legislación en un plano general, a día de hoy, la primera ley que estipula una obligatoriedad de establecer una comunicación digital entre ciudadanos y empresas con las Administraciones Publicas es la Ley 39/2015. Esta normativa establece el uso de la firma cualificada para las gestiones con la Administración, entrando el próximo 2 de abril la obligatoriedad de realizar todos los trámites a través de las sedes electrónicas de los distintos organismos públicos.

Además, también nos encontramos con la nueva Ley de servicios de confianza (Ley 6/2020 de 11 de noviembre) que reconoce y otorga una mayor importancia a los Prestadores de Servicios de Confianza Cualificados reconocidos por eIDAS:

• Identidad digital fiable a una persona física -> Prestador de Servicios de Confianza
• Proceso de identificación de los usuarios mediante sistemas de video identificación seguros que garantiza la correcta identificación de los usuarios -> diligencia debida
• Nuevo régimen sobre los efectos jurídicos de los documentos electrónicos

El sector financiero el primero en regular la firma cualificada 5AMDL

Por otro lado, si acotamos la normativa al uso de la firma electrónica cualificada, nos encontramos con que actualmente no es de obligado cumplimiento. Si bien es cierto que ciertos sectores más avanzados en el uso de este tipo de firma por su naturaleza jurídica, económica o financiera ya están empezando a ser regulados por normativas que adelantan el uso obligatorio de la firma con certificado cualificado en el corto plazo.

Es el caso del sector bancario y/o financiero que cuenta con la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. Se trata de la quinta Directiva europea en materia de prevención de blanqueo de capitales y financiación del terrorismo o anti-lavado de dinero (ALD), en inglés fifth anti-money laundering Directive (5AMLD). Todas las organizaciones, empresas e instituciones deben establecer sus procesos KYC (Know Your Customer) para asegurar el estricto cumplimiento de la quinta Directiva anti-lavado de dinero (5ALD) pasado el 10 de enero de 2020 si no desean ser sancionadas con multas de hasta 5 millones de euros, el 10% de su facturación anual o el cese de su actividad.

Esta normativa establece la firma cualificada como medio a través del cual los sujetos obligados podrán establecer relaciones de negocio o ejecutar operaciones a través de medios telefónicos, electrónicos o telemáticos con clientes que no se encuentren físicamente presentes.

Entre los cambios que introduce 5AMLD frente a 4AMLD, los más destacables en materia de identidad digital son:

• Establecer la necesidad de garantías en operaciones no presenciales
• Identificación de los titulares reales de libretas, cuentas o cajas que hasta ahora podían ser anónimas, tanto en banca tradicional como en banca online -> ahora se requiere el certificado digital
• Relaciones de negocio o ejecución de operaciones -> se requiere la firma cualificada
• Información del titular en el propio documento -> a través de la diligencia debida

CASOS DE SUPLANTACIÓN DE IDENTIDAD Y FRAUDE

La firma con certificado, el mayor aliado para transacciones de riesgo

Recientemente hemos visto organizaciones que han sufrido ataques de seguridad en sus sistemas, desde el caso del Palacio de Congresos de Valencia o el ataque informático al SEPE. Estos ejemplos ponen en relieve la importancia de contar con medidas de seguridad que protejan nuestra identidad digital.

En el caso de la firma electrónica, debemos proteger las comunicaciones electrónicas con alto riesgo que requieran de amplias garantías jurídicas. En este punto, aunque no es obligatorio, resulta imprescindible la firma electrónica cualificada con certificado digital por el respaldo legal que aporta a las firmas, haciendo defendibles los documentos firmados en caso de juicio.

Desde Ivnosys, desarrollamos y ponemos a tu disposición todos los tipos de firma electrónica para proteger las comunicaciones a distancia con clientes, proveedores, empleados… ¿Quieres saber más? Solicita tu demo y descúbrelo de primera mano.

La Covid-19 ha impulsado la digitalización de las empresas a un ritmo vertiginoso, siendo imprescindible el uso del certificado digital y la firma electrónica para trámites con la Administración y firmar todo tipo de documentos.

En este punto, es posible que te hayas preguntado “De acuerdo, tengo que usar el certificado y la firma electrónica, pero… ¿cómo los consigo? ¿Quién los emite?”

En el artículo de hoy damos respuesta a esta incógnita y te presentamos la figura de la Autoridad de Certificación y el Prestador de Servicios de Confianza Cualificado.

¿Qué es un Prestador de Servicios de Confianza Cualificado? Seguridad de la firma electrónica

Si hacemos una pequeña retrospectiva al pasado, recordaremos que desde hace años la UE trabaja para construir un mercado único digital que permita eliminar las barreras al comercio electrónico y a todo tipo de transacciones electrónicas entre los diferentes Estados miembros. En este contexto, nace el Reglamento eIDAS (Electronic Identification and Authentication Services) para fijar un estándar de identificación electrónica.  Gracias al eIDAS, la UE garantiza la validez de cualquier certificado digital en todo su territorio, con independencia del país de origen. Para ello, el Reglamento se apoya en lo que se denominan los Servicios electrónicos de Confianza.

Con este objetivo eIDAS establece y regula a nivel europeo dos conceptos:

1. El de los servicios electrónicos de confianza siendo éstos:

• La creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios.
• La creación, verificación y validación de certificados para la autenticación de sitios web.
• La preservación de firmas, sellos o certificados electrónicos relativos a estos servicios.

2. El del prestador de servicios de confianza: se trata de una persona física o jurídica que presta uno o más servicios electrónicos de confianza, bien como prestador cualificado o como prestador no cualificado. Los prestadores cualificados son los que, para expedir un certificado digital a una persona física o jurídica, el usuario debe verifica su identidad. Esto puede hacerlo directamente, o bien a través de un tercero de conformidad con el Derecho nacional.

Para ello, la normativa establece 4 formas de hacerlo:

a) “En presencia de la persona física o de un representante autorizado de la persona jurídica.”

b) “A distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado.”

c) “Por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b).”

d) “Utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la  conformidad.”

Ivnosys está reconocida como Prestador de Servicios de Confianza Cualificado y actúa como tercero de confianza, con la capacidad de emitir certificados digitales cualificados y los métodos de firma electrónica más seguros que cumplen con eIDAS. Así mismo, nuestras soluciones cuentan con el sellado de tiempo y una auditoría que protege las operaciones electrónicas de nuestros clientes.

¿Qué es una Autoridad de Certificación? Emisión de certificados digitales

Para empezar, cabe recordar que el certificado digital es como nuestro DNI electrónico que nos identifica como persona o como empresa y nos acredita ante los distintos organismos públicos a la hora de realizar cualquier transacción telemática. Dicho certificado digital deberá ser emitido por una entidad de confianza.

Cuando enseñamos nuestro DNI, nadie pone en duda la validez del mismo, puesto que cuenta con la confianza del organismo emisor (el Ministerio de Interior). De igual manera, necesitamos confiar en la autoridad que emite nuestros certificados digitales, surgiendo así la figura de la Autoridad de Certificación (en inglés CA Certification Authority o RA Registration Authority).

Una Autoridad de Certificación es lo que se conoce como una entidad de confianza que se encarga de emitir y revocar los certificados digitales utilizados en las transacciones y firmas electrónicas. Esta confianza se consigue gracias a la figura de la AC, que actúa como parte interviniente en la relación entre empresas o empresas y particulares. Así, cuando se realiza cualquier transacción entre dos partes, la AC otorga confianza a los documentos gestionados y firmados al no ser parte interesada.

Gracias a la infraestructura de claves criptográficas con las que cuenta una CA, que se conoce como PKCS o Public-Key Cryptography Standards, se garantiza la identidad del firmante, el registro de la fecha y hora exactas en las que se ha firmado electrónicamente un documento (lo que se conoce como sellado de tiempo) así como el contenido de las transacciones realizadas.

Un ejemplo de Autoridad de Certificación son Camerfirma o la FNMT y, en el caso de Ivnosys es IvSign CA. Algunas de las funciones de la Autoridad de Certificación son: proporcionar servicios como la publicación de certificados, listas de certificados revocados, comprobación de validez de los certificados, etc.

¡Descárgate gratis la infografía resumen! Nombre* Email* Privacidad* He leído y consiento el tratamiento de mis datos personales por parte de Ivnosys Soluciones, S.L.U. * CAPTCHA

¿Cuántas firmas digitales existen? ¿Qué nivel de seguridad necesito según mi actividad? ¿En qué consiste la firma cualificada? Cada día recibimos miles de consultas sobre cuál el tipo de firma más adecuado para cada compañía según el nivel de protección legal y jurídica requerido o buscado en sus gestiones internas y externas.

Hoy os contamos de una manera muy visual y sencilla los 3 tipos de firma reconocidos por el reglamento eIDAS y cuál es el grado de seguridad que ofrece cada uno de ellos.

La firma electrónica: un must de las empresas

El reglamento eIDAS (UE) 910/2014 regula las transacciones y comunicaciones electrónicas estableciendo los 3 tipos de firma electrónica aceptados por todos los países de la Unión Europea: firma simple, firma avanzada y firma cualificada.

Tal y como recoge el reglamento eIDAS en el artículo 3, la firma electrónica hace referencia a «los datos en formato electrónico ajenos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar«.

Así pues, destacan 2 elementos clave a tener en cuenta en la firma electrónica:

• Datos en formato electrónico
• Identificación del firmante

Como comentábamos, uno de los beneficios del uso de la firma electrónica es que permite firmar documentos y realizar todo tipo de transacciones con plena validez jurídica dentro de la UE. Pasemos ahora a ver qué tipos de firma electrónica nos convienen en función de la situación en la que nos encontremos y la actividad de nuestra empresa.

Los 3 tipos de firma electrónica reconocidos por eIDAS

Firma simple

El firmante acepta o rechaza la información recibida respondiendo a un cuadro de diálogo que aparece en pantalla, que generalmente se basa en un «Acepto/Rechazo» del documento enviado. Es decir, no necesita un trazo como tal, sino que solo basta un clic para mostrar la conformidad de la información.

Este es el tipo de firma electrónica más sencillo para el firmante, ya que no requiere disponer de tecnología adicional y permite aceptar un acuerdo de forma rápida y sencilla. Sin embargo, es el tipo de firma electrónica con menor robustez jurídica ya que no se puede asegurar de forma indiscutible la identidad del firmante.

Por esto mismo, la firma simple es válida para comunicaciones muy básicas del día a día como cambios en la política de privacidad o comunicaciones a los empleados que no requieran un alto nivel de seguridad por parte de la empresa.

Firma avanzada

La firma electrónica avanzada tiene un mayor nivel de seguridad respecto a la firma simple. De acuerdo al artículo 26 de eIDAS, para contar una firma avanzada se debe cumplir los siguientes requisitos:

a) estar vinculada al firmante de manera única
b) permitir la identificación del firmante
c) haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
d) estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable»

La firma electrónica avanzada puede utilizarse mediante 2 métodos:

I. Firma avanzada OTP (SMS)

El firmante recibe un código por SMS – válido por un periodo de tiempo y de un solo uso – que debe introducir en el momento de la firma. Este tipo de firma electrónica suele ser muy habitual a la hora de realizar compras online o la firma de contratos en el proceso de selección.

En este caso, la identidad del firmante queda garantizada al utilizar un elemento personal en el momento de la firma: su teléfono móvil.

II. Firma avanzada biométrica

Esta firma electrónica requiere la presencia física del firmante, pues necesita firmar sobre una herramienta específica (normalmente, una tablet). Se recogen datos biométricos que identifican al firmante como la presión, inclinación y posición del bolígrafo usado en el momento de la firma.

Es común usar este tipo de firma electrónica en sectores como el bancario y asegurador, ya que les permite agilizar el cierre de transacciones en persona.

Firma cualificada

La firma cualificada es el tipo de firma con mayor robustez legal que nos aporta mayor seguridad en caso de conflicto. Podrás recordar cuál es y cómo se genera releyendo nuestro anterior post sobre la firma cualificada. Ésta debe cumplir con tres requisitos indispensables:

• El firmante debe estar vinculado e identificado de manera única a la firma
• Los datos utilizados para crear la firma deben estar bajo el control exclusivo del firmante
• Debe tener la capacidad de garantizar que los datos no han sido modificados tras la firma

Por su parte, el certificado digital queda recogido como «un certificado de firma electrónica que ha sido expedido por un prestador cualificado de servicios de confianza». El certificado debe ser emitido por una Autoridad de Certificación, entidad reconocida oficialmente y que respalda la identidad del firmante.

>> ¿Qué es la firma longeva y cuáles son los tipos?

>> Certificado digital y firma electrónica, ¿Cuál es la diferencia?

Todos los tipos de firma electrónica en una única herramienta

En Ivnosys contamos con la plataforma de firma electrónica IvCert, poniendo a disposición de nuestros clientes todos los tipos de firma electrónica reconocidos por eIDAS. La herramienta permite la firma y envío de documentos, recogiéndolos firmados en minutos y con plena seguridad jurídica.

Además, Ivnosys está reconocida como Prestador de Servicios de Confianza Cualificado y Autoridad de Certificación, cumpliendo con los estándares de seguridad de sus soluciones de firma e identidad digital.

¡Descárgate gratis la infografía resumen y lleva contigo los 3 tipos de firma! Nombre* Email* Privacidad* He leído y consiento el tratamiento de mis datos personales por parte de Ivnosys Soluciones, S.L.U. * CAPTCHA

Ivnosys sigue avanzando en su programa de donación y ha aportado sus soluciones a coste cero en materia de identidad digital y comunicaciones electrónicas a la organización del tercer sector Acción contra el Hambre. Un nuevo proyecto que se suma a la ayuda que ofrece Ivnosys a las empresas y organizaciones del tercer sector para afrontar los procesos de transformación digital.

Soluciones de firma e identidad digital de Ivnosys para labores de ayuda social de Acción contra el Hambre

Este convenio consiste en la aportación solidaria de las herramientas de firma electrónica y certificado digital IvCert e IvSign. Además, también se ha puesto a disposición de la ONG el gestor automático de notificaciones electrónicas con las Administraciones Públicas IvNeos. El conjunto de las soluciones permitirá a Acción contra el Hambre centralizar, optimizar, proteger y gestionar la identidad digital de las transacciones electrónicas realizadas en el día a día.

“Esta herramienta es muy útil tanto para nuestras oficinas como para los casi 50 países en los que operamos. La firma electrónica supone un ahorro de costes y nos proporciona circuitos automáticos para la firma de documentos que generan evidencias digitales de las operaciones. Cabe destacar que esta generación de evidencias nos permite almacenar un registro histórico de las firmas que se han llevado a cabo y que puede ser consultado por un auditor si fuese necesaria su verificación”.

Raúl Peñaranda, Responsable de Desarrollo y Nuevas Soluciones en Acción contra el Hambre

La organización ha comenzado la implementación de IvCert en el proyecto Acción Social. Gracias a la plataforma de firma electrónica Acción contra el Hambre podrá firmar y enviar sus documentos a través de medios digitales cumpliendo con los estándares de seguridad que recoge la normativa europea eIDAS. Esta herramienta facilitará la optimización de procesos como la recogida de permisos de cesión de datos, derechos de imagen o confirmación de entrega de ayudas, facilitando todas las transacciones con proveedores, donantes y empleados.

“Desde Ivnosys hemos sido testigos de cómo ha crecido exponencialmente la demanda de las soluciones digitales. En este sentido, creemos que una de nuestras misiones principales como compañía líder en tecnología es seguir aportando nuestro granito de arena mediante la donación de nuestras soluciones, contribuyendo, en este caso, a la digitalización del tercer sector. Para nosotros es un orgullo ayudar a Acción contra el Hambre a reducir tiempos y costes, automatizar sus procesos internos y sumarse a la nueva forma de comunicación digital”.

Sergio Ruiz, Consejero Delegado de Ivnosys

En la última entrada a nuestro blog, contamos qué es una firma electrónica cualificada. Tal y como vimos es la firma más segura, con mayor robustez legal al basarse en la firma con un certificado digital cualificado y generarse mediante un dispositivo seguro de creación de firma o QSCD.

Verificar la firma en el largo plazo

Cuando usamos la firma cualificada lo que estamos buscando es una firma con los mismos efectos jurídicos que la firma manuscrita en papel. De este modo, igual que una firma en papel perdura en el tiempo, también debemos exigirlo con la firma electrónica utilizando un formato longevo.

Las empresas necesitan contar con la firma longeva si quieren tener la garantía de que dentro de unos años podrán verificar la validez de las firmas en caso de conflicto. Así, en cualquier momento es posible confirmar que la firma era válida a través de un concepto denominado Validación a Largo Plazo o LTV (Long Term Validation). Por tanto, ésta nos permitirá confirmar 2 requisitos esenciales:

1. Asegurar que los datos no han sido alterados ni modificados tras el momento de la firma.
2. Comprobar el estado vigente del certificado con el que se firmó, es decir, que no estaba revocado o caducado en el momento de la firma.

Formatos y niveles de seguridad de la firma longeva

Existen diferentes formatos de firma longeva que están regulados acorde a la normativa eIDAS, el reglamento de la UE más importante en materia de identidad electrónica. Estos formatos se clasifican según el tipo de archivo. Aquí los detallamos:

• CAdES (para ficheros CMS)
• XAdES (en caso de ser documentos XML)
• PAdES (el más habitual al tratarse de firmas de PDF)

Además, cada uno de estos formatos se podrá clasificar según diferentes niveles de seguridad de firma según la Comisión Europea y de acuerdo con los estándares marcados por ETSI (Instituto Europeo de Estándares de Telecomunicaciones):

• Nivel B: define un perfil de firma básico a corto plazo que incluye información de los certificados utilizados, pero no garantiza el momento en que se efectuaron las firmas ni que en un futuro se pueda verificar la validez de los certificados (es decir, si estaban revocados o caducados cuando se firmó).
• Nivel BT: se construye a partir del nivel anterior, pero agrega el sellado de tiempo, que indica la fecha y hora del momento de la firma. No sirve tampoco para demostrar la validez de los certificados usados para la firma dentro de unos años.
• Nivel B-LT: a los dos formatos anteriores se suma toda la información de verificación. Permite que la firma de un documento se pueda validar, incluso después de un largo período de tiempo, cuando el entorno de firma (por ejemplo, Autoridad de Certificación de firma) ya no está disponible.
• Nivel B-LTA: es el formato más seguro porque asegura la existencia de todos los datos de verificación del documento con uno o varios sellos de tiempo. Es decir, verifica la validez del certificado en el momento de la firma, así como que toda la información contenida no ha sido posteriormente modificada. Por este motivo, este es el formato de firma recomendado para las firmas cualificadas.

En este sentido, es importante tener claro cuál es el nivel apropiado al crear una firma electrónica en función del uso previsto de la firma:

• Si la firma solo necesita validarse a corto plazo (por ejemplo, al firmar facturas), una firma básica normalmente sería suficiente.
• Si existe la necesidad de una firma que pueda ser validada a largo plazo, se debe considerar una firma longeva con un nivel de B-LTA.

Formato PAdES

Volviendo a los formatos de firma electrónica que define eIDAS que son: CAdES (para ficheros CMS), XAdES (en caso de ser documentos XML) y, por último, PAdES (para archivos PDF), ahora nos centraremos en este último, PAdES, puesto que la firma en PDF es la más común.

El término PAdES se refiere a un grupo de extensiones y restricciones que permiten usar la firma electrónica cualificada cumpliendo con el Reglamento eIDAS. Debido a que los documentos PDF pueden almacenarse durante mucho tiempo, es necesario tener herramientas disponibles para garantizar que los documentos firmados electrónicamente también sigan siendo válidos durante períodos prolongados. Especialmente para documentos importantes, la validez de la firma debe permanecer, incluso si la clave/certificado de firma ha caducado o ha sido revocado, la CA emisora ​​ya no existe y los algoritmos criptográficos que se utilizaron para crear la firma electrónica ya no son dignos de confianza.

Si seguimos los mismos niveles que hemos comentado en el apartado anterior, tendríamos varios tipos de PAdES:

• PAdES B, PAdES T, PAdES LT y finalmente PAdES LTA: este es el formato de firma electrónica cualificada recomendado por ser el más seguro y completo (recordemos que incluye la verificación del documento a largo plazo con la verificación de la validez del certificado en el momento de la firma, así como que el contenido del contrato no ha sido posteriormente modificado).

Seguridad garantizada por un PSCC

Al utilizar el estándar PAdES contamos con la seguridad de que los documentos firmados electrónicamente seguirán siendo válidos en el largo plazo, aunque en ese momento el certificado utilizado haya caducado o haya sido revocado. En nuestro caso, Ivnosys cumple con el estándar PAdES LTV en las firmas que ponemos a disposición de nuestros clientes con la plataforma de firma IvCert.

Dado que la firma electrónica puede obtenerse con diferentes niveles, no debemos dar por sentado que con cualquier herramienta de firma vamos a obtener una firma longeva cualificada, puesto que incluso en el caso de Acrobat Reader DC no existe información detallada de cómo se aplican estos algoritmos.

En Ivnosys, como expertos en firma electrónica y prestadores de servicios de confianza cualificados acordes al reglamento eIDAS, ponemos la máxima atención a estos detalles.

Garantizamos a nuestros clientes que tanto las firmas cualificadas de larga duración realizadas con nuestra herramienta de firma de escritorio IvDesk como nuestra plataforma de firma online IvCert cumplen estrictamente con el estándar PAdES-LTV. De esta forma la firma longeva incluye toda la información de verificación necesaria y sellados de tiempo para mantener la integridad y verificabilidad de los documentos por largos periodos de tiempo. De igual manera, se pueden utilizar nuestros servicios de verificación online o de escritorio para verificar documentos firmados y poder determinar rápidamente si son aptos o no para una conservación a largo plazo.

¡Descárgate gratis nuestra infografía sobre la firma longeva! Nombre* Email* Privacidad* He leído y consiento el tratamiento de mis datos personales por parte de Ivnosys Soluciones, S.L.U. * CAPTCHA

Completa la lectura con:

¿Cuál es la firma más segura y con mayor garantía jurídica? Firma cualificada

Entra en vigor la Ley 6/2020 que regula los servicios electrónicos de confianza

¿Cómo puedo firmar un PDF? Aquí tu guía práctica

Tras la irrupción tecnológica en el tejido empresarial en 2020 se han implantado numerosas herramientas digitales en las compañías a un ritmo vertiginoso. Es por ello, que a veces desconocemos bien las plataformas con las que trabajamos. En el caso de la firma electrónica, sabemos que existen diferentes tipos pero, cada vez es más común escuchar esta pregunta; ¿Cuál es la firma más segura y con mayor garantía jurídica?

¿Qué es la firma electrónica cualificada?

La normativa europea eIDAS reconoce 3 tipos de firma electrónica: la firma «simple», avanzada y cualificada. Todos válidos, legalmente vinculantes y admisibles ante un tribunal, pero debemos tener en cuenta que su fortaleza legal es diferente, siendo la más baja la firma simple y la más fuerte la cualificada, que se equipara a efectos jurídicos con la firma manuscrita tradicional.

Existen determinados supuestos, en los que bien porque es conveniente disponer de la máxima seguridad jurídica, o bien porque la propia legislación nos obliga a utilizar una firma electrónica equivalente a la manuscrita, se optará por la firma cualificada. Por tanto, nos centraremos en la firma electrónica cualificada, por los beneficios que aporta en cuanto a la seguridad y validez legal.

La firma electrónica cualificada se basa en la utilización de certificados digitales cualificados y la generación de la firma utilizando un dispositivo seguro de creación de firma conocido como QSCD (Qualified Signature Creation Device).

Para que una firma electrónica sea considerada como firma cualificada debe cumplir, además, con tres requisitos principales:

• El firmante debe estar vinculado e identificado de manera única a la firma
• Los datos utilizados para crear la firma deben estar bajo el control exclusivo del firmante
• Debe tener la capacidad de garantizar que los datos no han sido modificados tras la firma

¿Cómo se genera la firma electrónica cualificada?

Como ya te hemos presentado, el QSCD se trata de un dispositivo criptográfico que debe contar con un nivel de seguridad alto ya que el certificado sólo se debe poder utilizar en este dispositivo (tarjeta, módulo de seguridad de hardware o HSM, USB…). Este dispositivo es el responsable de generar firmas cualificadas mediante el uso de hardware y software específicos que garantizan que solo el firmante tiene el control de su clave privada de conformidad con una certificación Common Criteria EAL4+, que es la norma de seguridad creada para los módulos criptográficos QSCD.

En el caso de IvSign, permite al usuario disponer de certificados cualificados emitidos directamente en QSCD.

¿Quién puede ofrecer la firma electrónica cualificada?

Partimos de la base de que un certificado digital es como una versión electrónica de un pasaporte o un carné de conducir. Por tanto, los datos de creación de firmas deben estar respaldados por un prestador de servicios de confianza cualificado (QTSP) para permanecer únicos, confidenciales y protegidos contra falsificaciones. Además, un certificado cualificado solamente puede adquirirse a través de una Autoridad de Certificación cualificada, que realiza una verificación exhaustiva de la identidad del firmante.

Ivnosys es Autoridad de Certificación y tiene la capacidad propia de emitir y revocar certificados, verificar y garantizar la identidad del titular y los usos que haga con el certificado.

Una vez se tenga un certificado, el firmante ya está listo para firmar documentos online. El siguiente paso será escoger el programa o la plataforma con el que firmar el documento. A continuación, podrás ver una guía práctica para aprender a firmar PDFs con dos herramientas digitales, Adobe e IvDesk.

Leer más >> ¿Cómo puedo firmar un PDF?

¿Por qué usar la firma electrónica cualificada?

La firma electrónica en general ofrece a las empresas numerosas ventajas: mayor agilidad en el cierre de contratos, firma desde cualquier dispositivo móvil, ahorro de papel, evita desplazamientos innecesarios, supone nuevas oportunidades de venta, evita tareas rutinarias de búsqueda y archivo de documentos, mejora la imagen de la empresa, etc.

Y aun son más las ventajas que se consiguen al utilizar la firma electrónica cualificada:

• Identificación: garantiza la identidad del firmante y los datos de firma electrónica que se realizan.
• Reconocimiento: es el tipo de firma más seguro, reconocido por la normativa eIDAS, y es aplicable en todos los países miembros de la UE.
• Integridad: se cuenta con la certeza de que el documento no ha sido modificado ni alterado una vez firmado.
• Validez legal: tiene la misma robustez jurídica que la tradicional firma manuscrita.
• Seguridad: las evidencias electrónicas que aporta el certificado digital hacen que la firma cualificada sea defendible en caso de litigio.

¡Descárgate gratis la infografía sobre la firma electrónica cualificada! Nombre* Email* Privacidad* He leído y consiento el tratamiento de mis datos personales por parte de Ivnosys Soluciones, S.L.U. * CAPTCHA

Completa la lectura con:

La firma electrónica como herramienta de fidelización de clientes

Entra en vigor la Ley 6/2020 que regula los servicios electrónicos de confianza

IvVerify, la nueva herramienta de verificación de firmas

En Ivnosys estamos involucrados en la digitalización del sector jurídico de la mano de nuestro partner PwC Tax & Legal España. Así, hemos aprovechado la oportunidad de asistir al evento en streaming que ha organizado la firma legal los días 3 y 4 de febrero.

Aquí te dejamos algunas de las intervenciones más destacadas:

Un antes y un después en la digitalización del área legal

El encuentro dio comienzo con Joaquín Latorre, Socio responsable de PwC Tax & Legal, quien destacó 4 puntos clave en el marco digital actual:

1. Disrupción digital: la Administración ha cambiado la forma de comunicarse, y eso afecta al área de compliance. Los asesores están cambiando la forma en la que se comunican con la Administración Pública. Estamos atravesando una evolución hacia la velocidad y cantidad de datos, creando pautas de comportamiento que ayuden a tomar decisiones basadas en predicciones. Y esto, sin duda, impacta radicalmente en cómo avanza la evolución fiscal.
2. Complejidad normativa: el sector legal se está viendo afectado por una avalancha de nuevas figuras fiscales como las referentes a impuestos digitales, transacciones financieras, impuestos medioambientales, energéticos… Hay que estar actualizado de todos los cambios y nuevas normativas que van surgiendo de forma continuada.
3. Tendencias del gobierno corporativo: los temas fiscales ya no residen solo en los órganos directivos. Cada vez hay una mayor transparencia en la comunicación sobre las posiciones fiscales de las compañías.
4. Presión sobre los costes: «hay que hacer más por menos.» El coste más grande que soportan las empresas es el coste de profesional, y no se puede sustituir. Pero esa función profesional tiene que centrarse en tareas de gran valor añadido, y es ahí donde juega un importante papel la tecnología al liberar al profesional de tareas rutinarias que puedan sustituirse por procesos digitalizados.

En relación a este contexto digital, Víctor Calvo-Sotelo, director general de DigitalES, destacó que «Vamos a contar con múltiples reformas y un volumen de financiación pública en niveles nunca vistos. Estos fondos públicos irán destinados a la transformación digital.» Marcó la importancia de contar con empresas de asesoramiento que pongan a disposición de las empresas, ya sean grandes o pymes, herramientas que les ayuden en este proceso de cambio y adaptación al mundo digital.

El impulso de una Administración electrónica

Con la llegada de la pandemia, uno de los organismos que se ha visto más forzado a digitalizar sus procesos ha sido la Administración Tributaria, especialmente porque se aproximaba la campaña de la renta. En esta ocasión, contamos con la intervención de José Borja, director del departamento de Informática tributaria de la Agencia Estatal de Administración Tributaria. 

Tal y como compartió con la audiencia, se encontraron de repente en una situación en la que ni los funcionarios iban a la oficina, ni acudían a ella los ciudadanos. Solo hubo una salida: ofrecer una atención multicanal.

Consiguieron «proporcionar teletrabajo a los empleados, y ser capaces de prestar servicios a los ciudadanos desde sus domicilios», comentó Borja. A raíz de este intenso esfuerzo, se han planteado nuevos proyectos digitales como la videoasistencia. Comentó que, para el éxito de su proceso de digitalización, fue clave el tratamiento de los datos. Tal y como señaló, «se tiene más éxito cuando se utilizan datos. Hay que aprender a usarlos y tomar decisiones con ellos.»

Ecosistema de herramientas digitales a disposición del asesor

Destacamos en especial la intervención de Emilio Rodríguez, socio de PwC Tax & Legal, por hacer hincapié en las herramientas digitales ofrecidas por la nueva área NewLaw, y que son desarrolladas por Ivnosys en materia de la seguridad de la identidad digital y comunicaciones electrónicas.

Su intervención se ha centrado, sobre todo, en la gestión online con la Administración. Así, se ha tratado la ley 39/2015 que busca acompasar las obligaciones electrónicas con la gestión integral de la relación con la Administración.

De acuerdo con el ponente, hay 2 elementos sustanciales en cuanto a la digitalización del sector jurídico:

1. El uso masivo de la identidad digital de las compañías, que se centra en el certificado digital.
2. Las notificaciones dejan de recibirse en papel y pasa a formato electrónico, lo que significa que tenemos que meternos en la sede electrónica de cada organismo para saber si hemos recibido una notificación.

No atender las notificaciones a tiempo supone la recepción de sanciones, por lo que es algo que no nos podemos permitir. La solución pasa por disponer de una herramienta que conecte con las sedes de los organismos públicos.

De acuerdo con el ponente, «la Administración Pública (a nivel estatal, autonómico y local) suma cerca de 8.133 sedes electrónicas. Esto significa que «nuestros empleados deberían ir a cada una de esas sedes a consultar la información.» En este punto, lo que haremos con la tecnología es «usar una herramienta que traiga toda esa información a un único punto.»

Funcionamiento del gestor automático de notificaciones

El ponente presentó la herramienta IvNeos, que conecta todos los buzones de los organismos públicos accediendo a cada sede electrónica con el certificado digital que hemos conectado previamente al gestor.

En este sentido, el primer paso es tener centralizados los certificados digitales por ejemplo con IvSign, la plataforma que permite emitir y custodiar su uso de forma segura, pues tenemos en todo momento el control y la trazabilidad de uso.

Una vez el gestor tiene los certificados digitales a disposición, inicia el rastreo en las sedes de los organismos públicos. «Barre las AAPP personándose con esos certificados y trayéndonos los avisos. No abre las notificaciones, solo nos las pone a disposición para que las veamos y podamos atenderlas.» Además, nos da información sobre «la fecha de lectura, el estado de la tramitación, el organismo emisor, etc.»

Una vez recibida la notificación, podemos descargarla y ya seguir con el procedimiento habitual.

Una forma sencilla de gestionar la identidad digital

La centralización de los certificados nos permite hacer uso de ellos tanto para acceder a las sedes electrónicas de la Administración, como para firmar documentos electrónicos.

De ahí la importancia de diseñar un modelo de quién usa los certificados de acuerdo a los poderes asignados. Es decir, «aunque estamos ante un proyecto tecnológico, todo esto pasa por una fase anterior para diseñar ese modelo de gobierno», señala Rodríguez.

En este sentido, debemos hacernos una serie de reflexiones a la hora de apostar por la digitalización del sector jurídico:

1. Qué uso actual se hace de los certificados, la firma digital y la gestión de notificaciones. Ver el modelo que tenemos implementado y si puede verse mejorado con la  tecnología.
2. Tener en cuenta que las múltiples ventajas que aporta la tecnología: gestión automatizada, avisos automáticos, automatización en la respuesta a los escritos como dirigencias de embargo.
3. El nuevo modelo de gobierno es la base para definir qué reglas deben seguir las herramientas digitales que vamos a implantar (donde habrá que escuchar las recomendaciones del departamento legal y jurídico).
4. No solo basta con implantar las herramientas, sino que hay una nueva forma de trabajar. Los empleados necesitan un periodo de formación y soporte. Requiere la involucración directa de los empleados.

Como conclusión de la jornada, los profesionales del sector legal tienen ante sí una gran oportunidad de optimizar sus procesos gracias a la tecnología. Herramientas como el gestor IvNeos permiten la comunicación a distancia con la Administración Pública, llevando todos los trámites al día y evitando ser sancionado por descuidos. Eso sí, garantizando la identidad digital de la organización con la custodia segura del certificado digital.